Actualmente estamos dando soporte de seguridad a las siguientes versiones:
| Versión | Soportada |
|---|---|
| 1.x | ✅ Sí |
| < 1.0 | ❌ No |
Si descubres una vulnerabilidad de seguridad, por favor NO abras un issue público.
- Email: Envía un email a security@ciudadrobot.dev (o email alternativo)
- Incluye:
- Descripción detallada de la vulnerabilidad
- Pasos para reproducir
- Impacto potencial
- Versión afectada
- Tu información de contacto
- Confirmación: Responderemos en 48 horas
- Evaluación: Evaluaremos la vulnerabilidad en 7 días
- Fix: Trabajaremos en un fix prioritariamente
- Divulgación: Coordinaremos la divulgación pública contigo
NUNCA commitees:
- Claves privadas de blockchain
- API keys
- Contraseñas de base de datos
- Tokens de autenticación
Usa archivos .env (que están en .gitignore):
DATABASE_URL=mongodb://...
BLOCKCHAIN_PRIVATE_KEY=0x...
API_SECRET=...- Usa wallets de prueba para desarrollo
- NUNCA expongas claves privadas en el código
- Implementa rate limiting en endpoints sensibles
- Valida todas las transacciones
- Implementa autenticación robusta
- Usa HTTPS en producción
- Implementa rate limiting
- Valida y sanitiza inputs
- Valida origen de conexiones
- Implementa autenticación de sesión
- Limita tamaño de mensajes
- Implementa timeout de conexión
- No almacenes secretos en el cliente
- Valida datos del servidor
- Usa conexiones seguras (WSS, HTTPS)
- Fecha: Pendiente
- Estado: En progreso
- npm audit (dependencias Node.js)
- pip-audit (dependencias Python)
- SonarQube (análisis de código)
- OWASP ZAP (penetration testing)
- Rate limiting implementado
- Input validation
- SQL injection prevention
- XSS protection
- CSRF tokens
- Secure headers (Helmet.js)
- Logs de auditoría
- Smart contracts auditados
- Claves privadas en vault
- Validación de transacciones
- Gas limit protection
- Firewall configurado
- SSL/TLS certificates
- Regular backups
- Access control
- Monitoring & alerts
Estamos considerando implementar un programa de bug bounty. Mantente atento!
Para preguntas de seguridad:
- Email: security@ciudadrobot.dev
- PGP Key: [Link a clave pública]
Última actualización: 1 de Febrero, 2026